DDOS je skratka pre Distributed Denial-Of-Service. Ide o typ počítačovej kriminality, pri ktorej sa jedna alebo niekoľko strán pokúša prerušiť prevádzku servera alebo webovej stránky. Aby boli efektívni, nepoužívajú na útok len jeden počítač, ale často celú sieť.
Nejde však len o počítače útočníka – existujú druhy malvéru a vírusov, ktoré môžu ovplyvniť počítač bežných používateľov a premeniť ho na súčasť útoku. Ani zariadenia internetu vecí nie sú bezpečné – ak máte doma inteligentné zariadenie, teoreticky by sa dalo použiť na takýto útok.
Ako to funguje?
Najjednoduchší spôsob, ako vysvetliť útoky DDOS, je porovnať ich s dopravnými zápchami. Bežný tok premávky je prerušený, pretože desiatky (alebo stovky, tisíce atď.) neočakávaných áut sa zlúčia do hlavnej cesty bez toho, aby pustili iné autá.
Vznikajúca zápcha bráni bežným vodičom dostať sa k svojmu cieľu – v prípade DDOS by to bol server alebo webová stránka, ktorú hľadajú.
Existujú rôzne typy útokov, ktoré sa zameriavajú na rôzne prvky bežnej komunikácie klient-server.
Útoky na aplikačnej vrstve skúste vyčerpať zdroje cieľa tým, že ho prinútite opakovane načítať súbory alebo databázové dotazy – toto spomaľuje stránku a môže v extrémnych prípadoch spôsobiť problémy so serverom prehriatím alebo zvýšením výkonu použitie. Proti týmto útokom sa ťažko bráni, pretože je ťažké ich rozpoznať – nie je ľahké povedať, či je prudký nárast používania spôsobený nárastom skutočnej návštevnosti alebo zákerným útokom.
HTTP Flood Attacks sa vykonávajú v podstate opakovaným obnovovaním stránky prehliadača – s výnimkou miliónov krát. Táto záplava požiadaviek na server často vedie k tomu, že je zahltený a už nebude reagovať na (skutočné) požiadavky. Obrana zahŕňa záložné servery a dostatočnú kapacitu na zvládnutie pretečenia požiadaviek. Napríklad proti Facebooku by takýto útok takmer určite nefungoval, pretože ich infraštruktúra je taká silná, že dokáže zvládnuť podobné útoky.
Protokolové útoky skúste vyčerpať server spotrebovaním všetkej kapacity, ktorú majú napríklad webové aplikácie – teda opakovaním požiadaviek na prvok lokality alebo služby. Ak tak urobíte, webová aplikácia prestane reagovať. Často sa používajú filtre, ktoré blokujú opakované požiadavky z rovnakých IP adries, aby sa zabránilo útokom a aby služba bežala pre bežných používateľov.
Povodňové útoky SYN sa v podstate robia opakovaným požiadaním servera o získanie prvku a potom nepotvrdením jeho prijatia. To znamená, že server drží prvky a čaká na účtenku, ktorá nikdy nepríde – až kým nakoniec už viac nezdrží a nezačne ich zhadzovať, aby si mohol vyzdvihnúť ďalšie.
Objemové útoky pokúsiť sa umelo vytvoriť preťaženie tým, že zaberiete celú šírku pásma, ktorú má server. Je to podobné útokom HTTP Flood s tým rozdielom, že namiesto opakovaných požiadaviek sa odosielajú údaje do server, čím je príliš zaneprázdnený, aby mohol reagovať na normálnu prevádzku. Na vykonávanie týchto útokov sa zvyčajne používajú botnety – často využívajú aj zosilnenie DNS.
Tip: Zosilnenie DNS funguje ako megafón – menšia požiadavka alebo dátový paket sa prezentuje ako oveľa väčší, než je. Môže to byť útočník, ktorý požaduje všetko, čo server ponúka, a potom ho žiada o zopakovanie všetko, čo útočník požadoval – relatívne malá a jednoduchá požiadavka nakoniec zaberie veľa zdrojov.
Ako sa brániť proti DDOS útokom?
Prvým krokom pri riešení týchto útokov je uistiť sa, že sa skutočne dejú. Odhaliť ich nie je vždy jednoduché, pretože nárasty návštevnosti môžu byť normálnym správaním v dôsledku časových pásiem, tlačových správ a ďalších. Aby útoky DDOS fungovali, snažia sa svoje správanie v bežnej premávke čo najviac skrývať.
Ďalšie rutiny na zmiernenie DDOS útokov sú čierne diery, obmedzovanie rýchlosti a firewally. Čierne diery sú dosť extrémnym opatrením – nesnažia sa oddeliť skutočnú návštevnosť od útoku, ale skôr presmerujú každú požiadavku preč zo servera a potom ju zahodia. Môže sa to uskutočniť napríklad pri príprave očakávaného útoku.
Obmedzenie rýchlosti je pre používateľov o niečo menej drsné – nastavuje umelý limit pre počet požiadaviek, ktoré server prijme. Tento limit je dostatočný na to, aby prešla normálna prevádzka, ale príliš veľa požiadaviek sa automaticky presmeruje a zahodí – takto server nemôže byť preťažený. Je to tiež účinný spôsob, ako zastaviť pokusy o prelomenie hesla hrubou silou – napríklad po piatich pokusoch sa pokus o IP adresu jednoducho zablokuje.
Firewally nie sú užitočné len na ochranu vášho vlastného počítača, ale aj na strane servera mimo webového prenosu. Medzi internetom a serverom sú zriadené najmä firewally webových aplikácií – chránia pred niekoľkými rôznymi typmi útokov. Dobré brány firewall sú tiež schopné rýchlo nastaviť vlastné reakcie na útoky, keď k nim dôjde.
Tip: Ak chcete chrániť svoju stránku alebo server pred nejakým druhom útoku DDOS, budete chcieť usporiadanie rôznych riešení (s najväčšou pravdepodobnosťou vrátane brány firewall). Najlepším spôsobom, ako to urobiť, by bolo poradiť sa s konzultantom pre kybernetickú bezpečnosť a nechať ho navrhnúť vlastný plán prispôsobený vašim potrebám. Neexistuje žiadne univerzálne riešenie!